Domanda:
Come proteggere una rete WiFi?
Jonas
2010-11-24 03:45:14 UTC
view on stackexchange narkive permalink

Cosa devo fare per proteggere una rete WiFi? Esistono buone pratiche?

Mi è stato consigliato di utilizzare la crittografia WPA2 sul router, è sufficiente? Cosa posso fare per migliorare ulteriormente la sicurezza? È consigliabile consentire solo indirizzi MAC specifici o non è necessario?

Ho sentito che se qualcun altro ha configurato una rete WiFi con lo stesso SSID e una potenza del segnale più forte, il mio computer si connetterà a quella rete invece che alla mia. Cosa posso fare per proteggermi da questo?

Sette risposte:
#1
+17
Mark Davidson
2010-11-24 05:46:39 UTC
view on stackexchange narkive permalink
  • Immagino che quando dici WPA2 intendi WPA2-Personal. È abbastanza buono nella maggior parte dei casi al momento purché sia ​​combinato con una password davvero buona. https://www.grc.com/passwords.htm è un buon generatore per loro.
  • Disattiva Wi-Fi Protected Setup (WPS). Altrimenti, un utente malintenzionato deve solo violare un PIN di 8 cifre, il che è perfettamente fattibile.
  • Nascondere il tuo SSID. Non fermerà un aggressore determinato, ma fermerà alcuni degli script kiddie come gli aggressori.
  • Consentire solo indirizzi MAC specifici può essere un buon passo per gestire l'accesso degli utenti. Ma ancora una volta non rallenterà davvero un determinato aggressore, in quanto può comunque vedere quali indirizzi MAC sono attualmente connessi al wireless in testo normale.
  • Se possibile, una buona tattica per ridurre la possibilità che il tuo WiFi venga attaccato è posizionare correttamente il tuo punto di accesso wireless in modo che la quantità minima di segnale venga trasmessa all'esterno dell'edificio. In questo modo l'aggressore deve essere più vicino per iniziare l'attacco a meno che non abbia migliorate le antenne wireless per agganciarsi a miglia di distanza.

Sì, le persone possono trasmettere un segnale più forte per cercare di farti connettere a loro invece del punto di accesso desiderato utilizzando strumenti come Karma. Non conosco alcun modo specifico per proteggersi da questo, tranne per non consentire alcuna associazione automatica invece ogni volta che si desidera connettersi al wireless, è necessario farlo manualmente e verificare di connettersi al punto di accesso corretto.

Il cloaking SSID e il filtraggio MAC sono protetti dall'oscurità. Sono inutili al limite. Chiunque sappia cos'è Kismet, li ha già sconfitti.
Sono completamente d'accordo con te Marcin. Ecco perché ho detto che Script Kiddie deterrente solo per SSID e l'indirizzo MAC è buono solo per il controllo dell'utente.
Windows 7 e altri scoprono già nativamente router che sono "occultati", quindi quella parte è peggio che inutile in quanto fornisce un falso senso di sicurezza dove non esiste. Nemmeno contro gli script kiddies. +1 per gli altri articoli.
Il cloaking del tuo SSID può effettivamente mettere i tuoi dispositivi client in una posizione di sicurezza più debole, poiché cercheranno costantemente (e pubblicizzeranno tale) il tuo AP anche quando non sono neanche lontanamente vicini ad esso.
Potrebbe anche aggiungere un server RADIUS o un altro servizio simile per l'autenticazione.
#2
+11
sdanelson
2010-11-24 09:44:06 UTC
view on stackexchange narkive permalink

Dipende dalla rete / dall'ambiente. Per le reti wireless SOHO, WPA 2 Personal con una passphrase forte utilizzata per PSK dovrebbe essere sufficiente.

Per le reti aziendali o le reti che trattano informazioni riservate è necessario utilizzare i seguenti controlli:

  • WPA 2 Enterprise legato a IEEE 802.1X / EAP
  • Rete wireless separata dalla rete interna
  • WIPS e monitoraggio dei log in atto per rilevare / prevenire attacchi locali
  • I client wireless che richiedono un accesso interno dovrebbero connettersi tramite VPN
  • Limita la copertura a ciò che è assolutamente necessario attraverso controlli fisici e / o manipolazione dell'intensità del segnale
#3
+10
Rory Alsop
2010-12-21 00:44:39 UTC
view on stackexchange narkive permalink

Sono d'accordo con tutti i punti menzionati finora, e poiché sia ​​Mark Davidson che sdanelson hanno menzionato la copertura radio, volevo solo espandere leggermente questo dato che ci sono un paio di aree:

Potenza del segnale : in genere si desidera utilizzare la potenza del segnale minima possibile in una determinata area, quindi un attaccante al di fuori della tua squadra non può ottenere l'accesso, ma questo può lasciarti aperto a un Gemello malvagio attaccare se un punto di accesso dannoso copia il tuo SSID e utilizza una potenza del segnale molto più elevata.

Una soluzione è pensare ai tuoi percorsi di propagazione , individuando i tuoi punti di accesso all'esterno il tuo sito con le antenne configurate per essere direzionali nel tuo sito ti aiuterà molto in quanto puoi aumentare la potenza del segnale del punto di accesso (quindi sembrare più forte per i client) senza propagare il tuo segnale così lontano al di fuori del lato.

A soluzione più semplice, ma più efficace che ho visto (che potrebbe essere eccessivo per te - l'ho vista usata in un es molto sensibile tablishment) è pareti rivestite di metallo e soffitto con rete alle finestre: un'indagine wireless del sito di questo sito ha rilevato zero perdite RF!

Sicurezza attraverso l'oscurità, in questo caso nascondere l'SSID beacon: ti dà un falso senso di sicurezza. Il tuo punto di accesso continuerà a trasmettere SSID, ma non nei frame di beacon. Molti utenti ordinari saranno ancora in grado di connettersi poiché i driver per molte piattaforme identificheranno ancora l'SSID e tutti gli aggressori saranno in grado di trovarti come farebbero normalmente: prova uno degli strumenti sul Russix LiveCD e funzioneranno abbastanza bene con la trasmissione SSID disabilitata.

In genere non sono d'accordo con l'utilizzo della potenza del segnale come meccanismo di sicurezza. A meno che la tua rete non sia conservata in un edificio / stanza schermato, la capacità di un utente malintenzionato di ascoltare la tua rete è al di fuori del tuo controllo. Inoltre, questo approccio ha i lati negativi di un potenziale impatto sull'usabilità della rete e / o l'aggiunta di maggiore complessità ai requisiti di progettazione.
#4
+4
NotMe
2010-12-21 22:00:29 UTC
view on stackexchange narkive permalink

Solo per buttarlo qui.

Il miglior modello di sicurezza "wireless" è quello di sostituire i router wireless con il normale cablaggio CAT-5.

Il prossimo elemento migliore è garantire che tutto il traffico tra le macchine sia protetto utilizzando Kerberos oltre alla crittografia fornita dal router wireless. Questo può essere fatto con le impostazioni dei criteri di gruppo sui domini Windows.

Qualunque cosa tu faccia, non fidarti in modo nativo di nessuna macchina in grado di autenticarsi sul tuo router.

Wired è il nuovo wireless; o) Ma sono d'accordo con il tuo secondo suggerimento: considera il segmento di rete come non attendibile, fili o nessun filo.
#5
+3
Brian Winning Jr.
2012-05-03 19:00:42 UTC
view on stackexchange narkive permalink

Partendo dal presupposto che questo sia un router wireless per una casa o una piccola impresa, dovrei raccomandare quanto segue:

  • Come regola generale, cambia tutto ciò che è predefinito sul router incluso ma non limitato all'SSID e all'interfaccia web.

  • È necessario utilizzare WPA2 solo con crittografia AES e una chiave complessa con password alfanumerica contenente più di 8 caratteri. Non è necessaria una password di 63 caratteri per proteggere la rete domestica.

  • Utilizza il Filtro Mac wireless per consentire solo ai dispositivi wireless consentiti di connettersi alla rete. Questa informazione è denominata indirizzo fisico o indirizzo MAC e può essere trovata su una macchina Windows digitando ipconfig / all dal prompt dei comandi.

  • Se il router wireless supporta dovresti limitare il tuo raggio d'azione entro i confini della tua proprietà per ridurre l'area in cui un hacker potrebbe posizionarsi.

  • Infine, nascondere l'SSID non farà nulla in il modo di proteggere la tua rete e la renderà effettivamente più suscettibile agli attacchi. Inoltre, chiunque sia in grado di decifrare una password WPA2 forte non sarà scoraggiato da un SSID nascosto. Per saperne di più su questo, dai un'occhiata al seguente articolo: http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure /

#6
+2
pboin
2010-11-24 21:40:13 UTC
view on stackexchange narkive permalink

Una buona difesa è stratificata, quindi non ci sarà una guida per dominarli tutti. Per il wireless in particolare, potresti dare un'occhiata alle guide all'implementazione di DISA. Ti consigliamo di includere altre tecnologie per l'autenticazione enpoint, ecc., Ma questo è un buon inizio.

http://iase.disa.mil/stigs/content_pages/wireless_security.html

In alternativa, potresti semplicemente eseguire un rilascio ed eliminare molti di questi problemi.

#7
  0
iwaseatenbyagrue
2017-02-28 06:03:58 UTC
view on stackexchange narkive permalink

Se sei disposto a eseguire il tuo software AP (che molto probabilmente significherà hostapd), puoi configurare EAP basato su password.

Puoi quindi avere una password per MAC che conosci e una password predefinita che ruoti frequentemente altrimenti. Personalmente, penso che sia un'alternativa ragionevole al filtro MAC, ma potresti implementarle entrambe.

Non è forte come un approccio adeguatamente stratificato, ma per SOHO e moderatamente preoccupati, ragionevole (ho usato un Pi3 per questo).

Consiglio vivamente di rendere obbligatoria una VPN per qualsiasi cosa significativa (cioè qualcosa di più della navigazione su siti Web pubblici) se questo è un problema.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...